部分盲簽名的安全證明（基於 schnorr 簽名）

我讀了一篇關於部分盲簽名的代表性論文。

Abe 和 Okamoto - “可證明安全的部分盲簽名”。

他們提出了一種基於 Schnorr 簽名的部分盲簽名方案。

在安全性證明部分，他們證明了該方案對於使用 ID 縮減方案的自適應選擇消息攻擊是安全的。

---

他們假設一個單一資訊的對手， $ U^{*} $ 這違反了無限多種尺寸的不可偽造性。

還有機器 $ {M} $ 由偽造者建造 $ {U^*} $ .

首先， $ {M} $ 選擇 $ b $ （0 或 1，隨機）並分配 $ (y, z)=(g^{x}, z_{0}g^{\gamma}) $ 如果 $ b=0 $ ， 或者 $ (y, z)=(z_{0}g^{\gamma}, g^{w}) $ 如果 $ b=1 $ .

$ \gamma, x $ （或者 $ w $ ) 是隨機選擇的。

隨機預言機 $ F $ 被定義為返回適當的值 $ z $ 根據以上選擇。

讓我們假設 $ b=0 $ .

如果 $ U^{} $ 至少有機率成功 $ \eta $ ，然後作者說我們可以找到一個隨機的磁帶字元串 $ U^{} $ 至少有 1/2 的機率使得 $ U^{*} $ 以機率成功 $ \eta/2 $ .

我無法理解“找到隨機磁帶”是什麼意思。

是不是意味著發現 $ \gamma $ 和 $ x $ ?

為什麼是 1/2 和 $ \eta/2 $ ?

下面是論文的截圖。

謝謝。

緊隨其後的是探測策略/重行引理，它可以追溯到

$$ Oka,FFS $$. 閱讀本文中的第 6 節以獲得更好的解釋。 參考：

$$ Oka $$: 岡本。可證明安全且實用的辨識方案和相應的簽名方案。加密貨幣 1992。 $$ FFS $$：費格、菲亞特和沙米爾。身份的零知識證明。1988 年約克。

引用自：https://crypto.stackexchange.com/questions/44702